Het belang van de gegevensbeschermingseffectenbeoordeling voor GDPR compliance

De gegevensbeschermingseffectenbeoordeling of kortweg DPIA (Data Protection Impact Assessment) is één van de verplichtingen uit de GDPR die op uw onderneming of organisatie van toepassing is wanneer u intensief persoonsgegevens verwerkt.

De DPIA kan echter ook meer zijn dan enkel een zware administratieve last, meer bepaald stelt het uw onderneming of organisatie in staat om uw verplichting onder de GDPR meetbaar te maken en vertrouwen te wekken bij u stakeholders.

Wat een DPIA is, wanneer er één moet worden uitgevoerd en wat er precies de voordelen van zijn voor uw onderneming of organisatie leest u in deze nieuwsbrief.

De invoering van de Algemene Verordening Gegevensbescherming of “GDPR” blijft een hot topic voor ondernemingen en organisaties. Zo is het een vaak voorkomende vraag hoe de beginselen en regels van de GDPR concreet te implementeren en te beoordelen.

De gegevensbeschermingseffectbeoordeling of “DPIA” (Data Protection Impact Assessment) uit de GDPR is een bijzonder interessante tool wanneer u plant om nieuwe technologieën te gaan gebruiken of om uitgebreide projecten op te starten waarbij u veel persoonsgegevens zal verwerken. De DPIA stelt u in staat om een meer tastbare beoordeling te maken van de verwerkingsactiviteiten die plaatsvinden in uw onderneming of organisatie. In deze bijdrage bespreken we de rol die de DPIA speelt voor de GDPR compliance van uw onderneming of organisatie.

 

1.     Belang van een DPIA voor uw onderneming of organisatie

In de praktijk stellen veel ondernemingen en organisaties zich de vraag welke handelingen ze dienen te stellen om “compliant” te zijn met de GDPR, zeker wanneer ze nieuwe technologieën willen implementeren of nieuwe dataverwerkings-intensieve projecten opstarten. De GDPR biedt geen eenduidig antwoord op die bekommernis, aangezien er veelal geen meetbare verplichtingen worden voorgeschreven en “GDPR compliance” een continu proces is.

Het doorvoeren van een DPIA kan voor ondernemingen en organisaties de soms strikt ervaren verplichtingen van de GDPR tastbaar maken. Bij een DPIA gaat u immers een aantal risico’s identificeren en maatregelen implementeren om die risico’s te verhelpen. Op die manier creëert u een “to do” lijst om richting GDPR compliance te werken voor een bepaald project of technologie. Het uitvoeren van een DPIA kan voor uw onderneming of organisatie dan ook een handige tool zijn om de huidige stand van zaken te evalueren.

Belangrijk om mee te nemen is dat de DPIA, hoewel ze in bepaalde gevallen inderdaad verplicht is, ook veel meer kan zijn dan slechts een zware formele verplichting voor uw onderneming of organisatie. Naast het tastbaar maken van uw verplichtingen onder de GDPR, kan het doorvoeren van een DPIA ook vertrouwen scheppen ten aanzien van betrokkenen en uw stakeholders. Met het doorvoeren van een DPIA toont u immers aan dat uw onderneming of organisatie de relevante risico’s in kaart brengt en de nodige maatregelen treft om die risico te beheersen. Ook kan het doorvoeren van een DPIA en meer algemeen GDPR compliance een concurrentieel voordeel betekenen. Privacy-bewuste klanten, die steeds groeien in aantal, zullen immers op zoek gaan naar oplossingen en leveranciers die op een conforme manier persoonsgegevens verwerken. Dat kan tot gevolg hebben dat die klanten zich van uw concurrenten afkeren omdat u aantoonbaar beter kan in staan voor de veiligheid van hun persoonsgegevens.

 

2.    Wat is een DPIA?

Een DPIA is een proces dat bedoeld is om de risico’s van uw verwerkingsactiviteiten in kaart te brengen en een beoordeling te maken van die risico’s in verhouding tot de maatregelen die uw onderneming of organisatie neemt om die risico’s in te perken. Bij een DPIA doorloopt u, voordat u met de beoogde verwerkingsactiviteit aanvangt, volgende stappen:

  1. U beschrijft in detail de beoogde verwerkingsactiviteit(en);
  2. U beoordeelt de noodzaak en evenredigheid van de verwerkingsactiviteit(en) en de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen;
  3. U schat de risico’s in voor de rechten en vrijheden van natuurlijke personen;
  4. U bepaalt de maatregelen die u zal treffen om de bestaande risico’s in te perken en u beoordeelt of er een restrisico bestaat.

De GDPR vereist niet dat de verwerkingsverantwoordelijke een DPIA uitvoert voor iedere verwerking van persoonsgegevens. In regel is dit slechts verplicht wanneer de verwerkingsactiviteit, gelet op de aard, omvang, context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

De DPIA kadert binnen de verantwoordingsplicht onder de GDPR, namelijk door ervoor te zorgen dat u kan aantonen dat uw onderneming of organisatie voldoet aan de bepalingen van de GDPR.

 

3.    Wanneer een DPIA?

Eerder stelden we dat u als verwerkingsverantwoordelijke verplicht bent om een DPIA uit te voeren indien een bepaalde verwerkingsactiviteit waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Uiteraard stelt zich dan de vraag: Hoe weet ik wat een “hoog risico”-verwerking is?

Daarvoor zijn de volgende regels van belang: in eerste instantie uiteraard de GDPR zelf, die in belangrijke mate door de vroegere artikel 29-werkgroep of “WP29”- wordt verduidelijkt. Ter uitwerking van die regelgeving zijn ook de voorganger van de Belgische Gegevensbeschermingsautoriteit of “GBA”, nl. de Privacy Commissie, en de Vlaamse Toezichtcommissie of “VTC” met enkele specifieke richtlijnen gekomen die vastleggen wanneer een verwerkingsactiviteit in ieder geval door een DPIA voorafgegaan moeten worden.

In de tekst van GDPR zelf worden enkele situaties vermeld waarin een DPIA verplicht is:

  • In geval van een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen”;
  • In geval van grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten”; of
  • In geval van stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten”.

 

WP29

De WP29 geeft aan dat de bovenstaande voorbeelden die in de GDPR zelf worden aangehaald, zeker niet geïnterpreteerd mogen worden als een exhaustieve lijst. In bepaalde gevallen is het duidelijk dat er een hoog risico voor de veiligheid van persoonsgegevens zal zijn, wanneer dit echter niet het geval is en er enige twijfel mogelijk zou zijn, stelt de WP29 negen criteria voor die kunnen helpen om een beoordeling te maken van de waarschijnlijkheid van een hoog risico.

Heeft de beoogde verwerkingsactiviteit betrekking of effect op:

  1. De evaluatie, scoring, profilering of het voorspellen van gedrag van personen;
  2. Een geautomatiseerde beslissing met betrekking tot een persoon die rechtsgevolgen of andere verregaande gevolgen zal hebben;
  3. Het systematische monitoren van een betrokkene;
  4. Gevoelige persoonsgegevens;
  5. Een zeer grote schaal;
  6. Het combineren van sets van persoonsgegevens;
  7. Persoonsgegevens met betrekking tot kwetsbare categorieën van personen;
  8. Nieuwe technologieën;
  9. Het al dan niet toestaan van de uitoefening van een recht van de betrokkene met betrekking tot zijn of haar persoonsgegevens.

De WP29 geeft aan dat wanneer minstens twee van bovenstaande criteria van toepassing zijn op de beoogde verwerkingsactiviteit, die activiteit zeer waarschijnlijk een groot risico inhoudt en er een voorafgaande DPIA uitgevoerd dient te worden.

 

De Privacy Commissie / GBA

De voorganger van de GBA heeft een analoge lijst opgesteld in een aanbeveling van 28 februari 2018, door zowel een zwarte als een witte lijst op te stellen van verwerkingsactiviteiten die respectievelijk sowieso een DPIA vereisen en die in principe geen DPIA vereisen. Ook die lijsten zijn in geen geval limitatief.

In de zwarte lijst gaat het om acht risicovolle verwerkingsactiviteiten die duidelijk zijn onttrokken aan de bovenstaande negen criteria die door de WP29 werden opgesteld. Belangrijk om mee te nemen is dat er steeds bijzondere aandacht moet worden gegeven aan verwerkingen met betrekking op bijzondere categorieën van persoonsgegevens zoals: biometrische gegevens, gezondheidsgegevens, strafrechtelijke persoonsgegevens; grootschalige verwerkingen en verwerkingen waarbij nieuwe technologieën worden gebruikt.

De witte lijst bevat negen omschrijvingen van verwerkingsactiviteiten die duidelijk een minder inherent risico met zich meebrengen waardoor de voorganger van de GBA het in principe niet nodig vond om deze te onderwerpen aan een voorafgaande DPIA. Het gaat om verwerkingsactiviteiten:

  1. door private entiteiten in het kader van een op hen rustende wettelijke verplichting;
  2. die uitsluitend dienen voor de loonadministratie;
  3. die uitsluitend gericht zijn op de personeelsadministratie;
  4. die uitsluitend bedoelt zijn om de boekhouding in orde te maken;
  5. die uitsluitend gebeuren met betrekking tot de administratie van aandeelhouders en vennoten;
  6. verricht door stichtingen, verenigingen of andere instellingen zonder winstoogmerk met betrekking tot hun leden of partnerships;
  7. die uitsluitend de registratie van bezoekers omvatten;
  8. verricht door onderwijsinstellingen met het oog op het beheer van relaties met studenten of leerlingen, in het kader van hun onderwijsopdracht;
  9. die enkel betrekking hebben op het beheer van klanten of leveranciers.

In geen geval mag de verwerking verder gaan dan strikt noodzakelijk voor het beschreven doel, mag het nooit gaan om categorieën van bijzondere persoonsgegevens, of mag de verwerking langer duren dan nodig om het doel te verwezenlijken.

De voorganger van de GBA wijst bij zowel de zwarte als de witte lijst op het feit dat de verwerkingsverantwoordelijke door een vermelding van de toepasselijke verwerkingsactiviteit in één van de lijsten, niet ontslagen wordt van de verplichting om aan behoorlijke risicobeoordeling en risicobeheersing te doen.

 

VTC

Ten slotte heeft ook de VTC op 14 januari 2020 haar bijdrage geleverd door een lijst op te nemen met verwerkingen door bestuursinstanties die verplicht voorafgegaan dienen te worden door een DPIA. De (zwarte) respectievelijke lijsten worden opgedeeld volgens categorieën van persoonsgegevens, categorieën van personen, de gevolgen van de verwerking, en de verwerkingswijze.

De VTC heeft geen witte lijst opgesteld.

Ter conclusie dient de interpretatie van de waarschijnlijkheid van een hoog risico steeds geval per geval bekeken te worden. De bovenstaande instanties bieden hiertoe enkele duidelijke handvaten en de rechtsleer en rechtspraak die hierop betrekking heeft vult beetje bij beetje de onduidelijkheden op. We volgen die richtlijnen en verduidelijkingen dan ook met grote aandacht op.

 

 

Indien u juridische vragen heeft over DPIA’s of privacy- en gegevensbescherming, aarzel dan niet om contact op te nemen met ons Privacy & Data Protection team.

 

Auteurs: Kristof Zadora, Dylan Verhulst & Alexander Broux

Delen op LinkedIn Delen op Facebook

Dit artikel werd geschreven door

Kristof Zadora

Kristof Zadora
Dylan Verhulst

Dylan Verhulst

Deze publicaties vind je mogelijk ook interessant

Vlaanderen introduceert uniform kotlabel
#ingelicht

Vlaanderen introduceert uniform kotlabel

Lees meer
NIEUWSFLASH – Nieuwe ESG-wetgeving goedgekeurd: CS3D is een feit!
#ingelicht

NIEUWSFLASH – Nieuwe ESG-wetgeving goedgekeurd: CS3D is een feit!

Lees meer
Supermarkt ondernemers, wees alert: de Belgische wetgever verbiedt binnenkort specifieke bedingen om onevenwichtige overeenkomsten in de supermarktsector te bannen
#ingelicht

Supermarkt ondernemers, wees alert: de Belgische wetgever verbiedt binnenkort specifieke ...

Lees meer
VVPRbis: ook bij inbreng rekening-courant?
#ingelicht

VVPRbis: ook bij inbreng rekening-courant?

Lees meer
Distributieovereenkomsten in een internationale context: overzicht van dwingende wetgeving in andere EU-landen
#ingelicht

Distributieovereenkomsten in een internationale context: overzicht van dwingende wetgeving in ...

Lees meer

Op zoek naar advies rond een bepaald onderwerp?

We begeleiden je naar de juiste persoon of team.